Générer et exporter des certificats pour les connexions de point à site à l’aide de MakeCert

  • Article

Les connexions de point à site utilisent des certificats pour l’authentification. Cet article vous explique comment créer un certificat racine auto-signé et générer des certificats clients à l’aide de MakeCert. Si vous souhaitez en savoir plus sur d’autres certificats, veuillez consulter la rubrique Certificats - PowerShell ou Certificats - Linux.

Bien que nous recommandions de suivre les étapes Windows PowerShell 10 ou version ultérieure pour créer vos certificats, nous fournissons ces instructions MakeCert comme autre méthode possible. Les certificats que vous générez à l’aide de ces deux méthodes peuvent être installés sur tout système d’exploitation client pris en charge. Toutefois, MakeCert présente la limitation suivante :

  • MakeCert est déconseillé. Cela signifie que cet outil pourrait être supprimé à tout moment. Les certificats que vous avez déjà générés à l’aide de MakeCert ne sont pas affectés quand MakeCert n’est plus disponible. MakeCert est utilisé uniquement pour générer les certificats, pas comme mécanisme de validation.

Créer un certificat racine autosigné

Les étapes suivantes vous montrent comment créer un certificat auto-signé à l’aide de MakeCert. Ces étapes ne sont pas spécifiques au modèle de déploiement. Elles sont valides pour le modèle Resource Manager et pour le modèle classique.

  1. Téléchargez et installez MakeCert.

  2. Après l’installation, vous pouvez généralement trouver l’utilitaire makecert.exe sous le chemin d’accès suivant : C:\Program Files (x86)\Windows Kits\10\bin<arch>. Toutefois, il est possible qu’il ait été installé dans un autre emplacement. Ouvrez une invite de commandes avec des privilèges d’administrateur et accédez au dossier de l’utilitaire MakeCert. Vous pouvez utiliser l’exemple suivant, en l’ajustant pour l’emplacement approprié :

    cd C:\Program Files (x86)\Windows Kits\10\bin\x64

  3. Créez et installez un certificat dans le magasin de certificats personnels sur votre ordinateur. L’exemple suivant crée un fichier .cer correspondant que vous chargez sur Azure au moment de la configuration P2S. Remplacez 'P2SRootCert' et 'P2SRootCert.cer' par le nom que vous voulez attribuer au certificat. Le certificat se trouve dans votre dossier Certificates : Current User\Personal\Certificates.

    makecert -sky exchange -r -n "CN=P2SRootCert" -pe -a sha256 -len 2048 -ss My

Exporter la clé publique (.cer)

Après avoir créé un certificat racine autosigné, exportez le fichier .cer du certificat racine (et non la clé privée). Vous chargerez ultérieurement dans Azure les données de certificat nécessaires contenues dans le fichier. Procédez comme suit pour exporter le fichier .cer pour votre certificat racine auto-signé et récupérer les données de certificat nécessaires.

  1. Pour obtenir le fichier de certificat .cer, ouvrez Gérer les certificats utilisateur.

    Localisez le certificat racine auto-signé, généralement dans « Certificates - Curent User\Personal\Certificates » et cliquez avec le bouton droit. Cliquez sur Toutes les tâches ->Exporter. Cette opération ouvre l’Assistant Exportation de certificat.

    Si vous ne trouvez pas le certificat sous « Current User\Personal\Certificates », vous avez peut-être ouvert par erreur « Certificats – Ordinateur local » et non « Certificats – Utilisateur actuel ».

    Capture d’écran montrant la fenêtre Certificats avec Toutes les tâches, puis Exporter sélectionnés.

  2. Dans l’assistant, cliquez sur Suivant.

  3. Sélectionnez Non, ne pas exporter la clé privée, puis cliquez sur Suivant.

    Capture d’écran montrant l’option Ne pas exporter la clé privée.

  4. Sur la page Format de fichier d’exportation, sélectionnez Codé à base 64 X.509 (.cer). , puis cliquez sur Suivant.

    Capture d’écran montrant l’option Exporter encodé en Base-64.

  5. Dans Fichier à exporter, cliquez sur Parcourir pour accéder à l’emplacement vers lequel vous souhaitez exporter le certificat. Pour la zone Nom de fichier, nommez le fichier de certificat. Cliquez ensuite sur Suivant.

  6. Cliquez sur Terminer pour exporter le certificat.

  7. Une confirmation s’affiche indiquant « L’exportation a réussi ».

  8. Accédez à l’emplacement où vous avez exporté le certificat et ouvrez-le à l’aide d’un éditeur de texte, comme le Bloc-notes. Si vous avez exporté le certificat au format X.509 encodé en Base-64 nécessaire (.CER), un texte similaire à l’exemple suivant s’affiche. La section mise en évidence en bleu contient les informations que vous copiez et chargez dans Azure.

    Capture d’écran montrant le fichier CER ouvert dans le Bloc-notes avec les données du certificat mises en évidence.

    Si votre fichier ne ressemble pas à l’exemple, cela signifie généralement que vous ne l’avez pas exporté au format X.509 encodé en Base-64 (.CER). De plus, si vous utilisez un autre éditeur de texte que le Bloc-notes, notez que certains éditeurs peuvent ajouter une mise en forme non souhaitée en arrière-plan. Cela peut créer des problèmes quand vous chargez le texte de ce certificat sur Azure.

Le fichier exported.cer doit être chargé dans Azure. Pour obtenir des instructions, consultez Configurer une connexion de point à site. Pour ajouter un certificat racine approuvé, voir cette section de l’article.

Exporter le certificat auto-signé et la clé privée pour la stocker (facultatif)

Vous souhaiterez peut-être exporter le certificat racine auto-signé et le stocker en toute sécurité. Vous pouvez l’installer ultérieurement sur un autre ordinateur et générer davantage de certificats clients ou exporter un autre fichier .cer. Pour exporter le certificat racine auto-signé au format .pfx, sélectionnez le certificat racine et suivez les étapes décrites dans la section Exporter un certificat client.

Créer et installer des certificats clients

Vous n’installez pas le certificat auto-signé directement sur l’ordinateur client. Vous devez générer un certificat client à partir du certificat auto-signé. Ensuite, vous exportez et installez le certificat client sur l’ordinateur client. Les étapes suivantes ne sont pas spécifiques au modèle de déploiement. Elles sont valides pour le modèle Resource Manager et pour le modèle classique.

Générer un certificat client

Chaque ordinateur client qui se connecte à un réseau virtuel avec une connexion de point à site doit avoir un certificat client installé. Vous générez un certificat client à partir du certificat racine auto-signé, puis l’exportez et l’installez. Si le certificat client n’est pas installé, l’authentification échoue.

Les étapes suivantes vous guident dans la génération d’un certificat client à partir d’un certificat racine auto-signé. Vous pouvez générer plusieurs certificats clients à partir d’un même certificat racine. Lorsque vous générez des certificats clients suivant les étapes suivantes, le certificat client est automatiquement installé sur l’ordinateur que vous avez utilisé pour générer le certificat. Si vous souhaitez installer un certificat client sur un autre ordinateur client, vous pouvez exporter le certificat.

  1. Sur l’ordinateur que vous avez utilisé pour créer le certificat auto-signé, ouvrez une invite de commandes comme administrateur.

  2. Modifiez et exécutez l’exemple pour générer un certificat client.

    • Remplacez « P2SRootCert » par le nom du certificat racine auto-signé depuis lequel vous générez le certificat client. Veillez à utiliser le nom du certificat racine, c'est-à-dire la valeur « CN= » que vous avez spécifiée lorsque vous avez créé le certificat racine auto-signé.
    • Remplacez P2SChildCert par le nom que vous souhaitez pour générer un certificat client.

    Si vous exécutez l’exemple suivant en l’état, cette opération entraîne la création d’un certificat client nommé P2SChildcert dans votre magasin de certificats personnel généré à partir du certificat racine P2SChildcert.

    makecert.exe -n "CN=P2SChildCert" -pe -sky exchange -m 96 -ss My -in "P2SRootCert" -is my -a sha256

Exporter un certificat client

Lorsque vous générez un certificat client, il est automatiquement installé sur l’ordinateur que vous avez utilisé pour le générer. Si vous souhaitez installer le certificat client sur un autre ordinateur client, vous devez tout d’abord exporter le certificat client.

  1. Pour exporter un certificat client, ouvrez Gérer les certificats utilisateur. Les certificats clients que vous avez générés se trouvent par défaut dans « Certificates - Current User\Personal\Certificates ». Cliquez avec le bouton droit sur le certificat client à exporter, cliquez sur Toutes les tâches, puis cliquez sur Exporter pour ouvrir l’Assistant Exportation du certificat.

    Capture d’écran montrant la fenêtre Certificats avec Toutes les tâches, puis Exporter sélectionnés.

  2. Dans l’Assistant Exportation de certificat, cliquez sur Suivant pour continuer.

  3. Sélectionnez Oui, exporter la clé privée, puis cliquez sur Suivant.

    Capture d’écran montrant l’option Oui, exporter la clé privée sélectionnée.

  4. Dans la page Format de fichier d’exportation, laissez les valeurs par défaut sélectionnées. Assurez-vous que l’option Inclure tous les certificats dans le chemin d’accès de certification si possible est sélectionnée. Ce paramètre exporte également les informations de certificat racine qui sont nécessaires à la réussite de l’authentification du client. Sans cela, l’authentification du client échoue car le client n’a pas le certificat racine approuvé. Cliquez ensuite sur Suivant.

    Capture d’écran de la page du format de fichier d’exportation.

  5. Dans la page Sécurité , vous devez protéger la clé privée. Si vous choisissez d’utiliser un mot de passe, veillez à enregistrer ou à mémoriser celui que vous définissez pour ce certificat. Cliquez ensuite sur Suivant.

    Capture d’écran montrant le mot de passe entré et confirmé.

  6. Dans Fichier à exporter, cliquez sur Parcourir pour accéder à l’emplacement vers lequel vous souhaitez exporter le certificat. Pour la zone Nom de fichier, nommez le fichier de certificat. Cliquez ensuite sur Suivant.

  7. Cliquez sur Terminer pour exporter le certificat.

Installer un certificat client exporté

Pour installer un certificat client, consultez Installer un certificat client.

Étapes suivantes

Poursuivez votre configuration point à site.

Pour plus d’informations sur la résolution des problèmes liés aux connexions de point à site, consultez l’article Résolution des problèmes de connexion de point à site Azure.